Pesquisadores de segurança revelaram uma nova falha crítica no sistema Android, apelidada de “Pixnapping”, que permite a aplicativos maliciosos acessar pixels exibidos por outros apps, violando a privacidade de dados sensíveis como frases de recuperação de carteiras cripto, códigos 2FA e outras informações confidenciais.

Segundo o estudo, a técnica contorna todas as medidas de proteção dos navegadores e pode inclusive roubar segredos de aplicativos que não são navegadores.

🧠 Como funciona o ataque “Pixnapping”

O método não envolve simplesmente capturar a tela de outro aplicativo. Em vez disso, os invasores sobrepõem camadas semitransparentes controladas por eles, deixando apenas um pixel visível.

Esse pixel é manipulado para dominar a cor do frame, e com repetição e cálculo temporal, os atacantes conseguem reconstruir as informações exibidas na tela.

📊 Taxa de sucesso para roubo de códigos 2FA em testes reais:

• Google Pixel 6: 73% (14,3s)

• Google Pixel 7: 53% (25,8s)

• Google Pixel 8: 29% (24,9s)

• Google Pixel 9: 53% (25,3s)

“Nosso ataque recupera corretamente o código 2FA de seis dígitos em até 73% dos casos”, afirmam os pesquisadores.

Frases de recuperação — normalmente exibidas por mais tempo na tela — são ainda mais vulneráveis a esse tipo de ataque.

📱 Dispositivos afetados

Os testes foram realizados em:

• Google Pixel 6, Pixel 7, Pixel 8, Pixel 9

• Samsung Galaxy S25

Como a falha utiliza APIs amplamente disponíveis, outros dispositivos Android também podem estar vulneráveis.

🛡️ Reação do Google e da Samsung Electronics

O Google tentou corrigir o problema limitando o número de atividades que um app pode desfocar ao mesmo tempo. Os pesquisadores, no entanto, encontraram formas de contornar o patch.

A falha foi classificada como de alta gravidade, e os pesquisadores receberão uma recompensa de bug bounty. A Samsung também foi alertada de que a correção do Google não protege adequadamente seus dispositivos.

🔐 Como se proteger

• Evite exibir seed phrases em celulares Android.

• Nunca copie ou deixe frases de recuperação visíveis por longos períodos.

• Prefira usar um hardware wallet — dispositivos físicos que armazenam chaves privadas de forma isolada, sem conexão direta à internet.

“Simplesmente não use seu telefone para proteger sua cripto. Use um hardware wallet!”, alertou o pesquisador Vladimir S no X.

📌 Fontes: Android | Google | Samsung Electronics | Pixnapping Research Paper | Cointelegraph

🎓 CTA – Curso Soberania Crypto:
Quer aprender a usar o Bitcoin para conquistar liberdade financeira?
Conheça meu curso Soberania Crypto no site 👉 www.oandrecosta.com.br